Kevin Mitnick über moderne Cyberkriminalität

Datenschutz, Sicherheit und Identitätsdiebstahl

| Autor / Redakteur: Kevin Mitnick / Peter Schmitz

Cyberkriminelle haben raffinierte Strategien entwickelt, um an private Informationen der Nutzer zu gelangen und teils riesige Geldbeträge von ihrem Opfer zu erpressen.
Cyberkriminelle haben raffinierte Strategien entwickelt, um an private Informationen der Nutzer zu gelangen und teils riesige Geldbeträge von ihrem Opfer zu erpressen. (Bild: gemeinfrei)

Der Schutz vor den neuesten Betrügereien scheint eine einfache Aufgabe zu sein, aber da sich Cyberkriminelle vom typischen Betrug der „alten Schule“ ab- und moderner Online-Cyberkriminalität zuwenden, sind ihre Taktiken nicht mehr so einfach zu erkennen. Dabei bergen die Strategien große Gefahren und zahlreiche Möglichkeiten eines Identitätsdiebstahls.

Internetnutzer haben von digitaler Überwachung und Prominenten gehört, deren private Informationen oder Fotos gestohlen wurden. Allerdings informieren sich nur wenige Menschen darüber, wie diese Eingriffe in die Privatsphäre stattfinden oder wie weit das Problem verbreitet ist. Außerdem gehen die meisten Leute davon aus, dass sie nichts zu verbergen haben. Das Recht auf Privatsphäre ist aber nichts, das man jemand anderem übertragen sollte. In der heutigen High-Tech-Welt sind sich die meisten von uns bewusst, dass viele unserer Informationen online gefunden werden können, aber nur wenige erkennen den erschreckenden Umfang in Gänze. Jeder Schritt wird online verfolgt und gespeichert, was zu zahlreichen Möglichkeiten eines Identitätsdiebstahls führt.

Identitätsdiebstahl über ehe­malige E-Mail-Adressen

Use-After-FreeMail

Identitätsdiebstahl über ehe­malige E-Mail-Adressen

03.08.18 - IT-Forscher warnen in einem Forschungs­bericht vor den Risiken des Identitäts­diebstahls durch abgelegte und erneut vergebenen kostenlose E-Mail-Adressen. Die Problematik zu früh frei­ge­ge­be­ner E-Mail-Adressen und sich daraus ergebender Sicher­heits­lücken und Angriffs­möglichkeiten wird von den meisten FreeMail-Providern aber bislang unter­schätzt. Vorbildlich handelt hier Google. lesen

Laut dem Gemalto Breach Level Index wurden im Jahr 2017 2,6 Milliarden Datensätze entweder von Cyberkriminellen entwendet oder aber sie gingen verloren. In den letzten fünf Jahren wurden insgesamt 10 Milliarden Datensätze von Unternehmen verloren oder durch Dritte gestohlen. Identitätsdiebstahl war in 69 Prozent der Fälle die häufigste Art der Datenschutzverletzung. Ein aktuelles Beispiel ist der bekannt gewordene Hackerangriff auf die Marriott-Tochter Starwood, von dem mehr als eine halbe Milliarde Hotelgäste betroffen ist. Diese Attacken können also jeden betreffen und früher oder später muss sich man damit auseinandersetzen. Deshalb sollte jeder einen Blick auf einige der üblichen Betrügereien werfen, um im Zweifel zu wissen, was zu tun ist, wenn man zum Ziel oder gar zum Opfer wird.

Phishing: Dies ist eine unaufgeforderte E-Mail, die so aussehen kann, als ob sie aus einer legalen Quelle stammt. Sie kann auch „gefälscht“ sein, was bedeutet, dass sie sich als E-Mail von jemandem, den man kennt oder mit dem man Geschäfte macht, tarnt. Es kann so aussehen, als wäre es eine E-Mail von der Bank, in der die betroffene Person dazu aufgefordert wird, ihre Einstellungen zu aktualisieren oder ihre Zugangsdaten erneut einzugeben, um sich bei ihren Konten anzumelden. Die Phishing-E-Mail könnte wie eine E-Mail von einem persönlichen Freund aussehen, der „angehängte Fotos“ teilt, die beim Anklicken entweder gar nichts oder eine Fehlermeldung anzeigen. An dieser Stelle hat ein Hacker möglicherweise eine Schadsoftware auf den Computer oder das Gerät heruntergeladen, die jede digitale Bewegung aufzeichnet.

Spear-Phishing: Dies ist ein sehr gezielter Phishing-Versuch. Ein Hacker hat den Namen seiner Zielperson oder ihre E-Mail-Adresse erhalten. Damit findet er ihr Online-Profil, was zu ausreichend persönlichen Informationen führt, um ihre Familiengeschichte, ihren Wohnort, den Mädchennamen ihrer Mutter, ihre Sozialversicherungsnummer oder ähnliches herauszufinden. Der Angreifer könnte die Bankdaten des Betroffenen direkt oder indirekt einholen. Bei einem solchen Betrug kann der Cyberkriminelle anschließend vorgeben, die eigene Bank zu sein, die ihren Kunden per E-Mail oder Telefon darüber informiert, dass ihre Hypothek an eine andere Firma verkauft wurde und jetzt Zahlungen an dieses Unternehmen gesendet werden. Ein Link in der E-Mail führt zu einer gefälschten Website, die mit einem Buchstaben oder einer Nummer versehen ist, wie „Bank of Arnerica“. Bei genauerem Hinschauen erkennt man, dass das m mit einem r und einem n ersetzt wurde, was ähnlich aussieht, schwer zu erkennen und weit verbreitet ist.

Gefälschte Amazon-Anbieter: Jeder, der Waren oder Dienstleistungen unter dem üblichen Handelswert anbietet, könnte ein Fälscher sein, und Online-Kunden sollten sich von ihm fernhalten. Höchstwahrscheinlich vertreiben die Kriminellen entweder gestohlene Waren oder geben vor ein Online-Shop zu sein, obwohl keinerlei Waren verkauft werden. Nutzer sollten die Anzahl und/oder Art der Bewertungen eines Online-Shops online auf ihre Gültigkeit hin überprüfen. Ein Tipp könnte sein, dass sich die Online-Käufer vergleichbare Anbieter ansehen und deren Web-Auftritt und Angebot mit dem des scheinbar „günstigeren Betreibers“ zu vergleichen.

Ransomware: Eine der gefährlichsten Betrügereien ist Ransomware. Ein Cyberkrimineller kann auf Dateien eines Zielsystems zugreifen, indem er einen Phishing-Betrug durchführt und bösartige Software auf das Gerät schleust und alle Dateien verschlüsselt. Wenn kein funktionierendes Backup besteht, können alle Fotos, Dokumente und Dateien für immer verloren gehen oder der Besitzer wird mit einem Lösegeld in Form von Bitcoin oder anderer digitaler Währungen im Wert von mehreren hundert US-Dollar oder EURO (für eine Person) und mehreren tausend US-Dollar oder EURO (für ein kleines Unternehmen) konfrontiert. Niemand sollte auf eine E-Mail klicken, die er nicht erwartet hat, und schon gar nicht auf eine Verlinkung noch einen Anhang.

Tech Support Scam: Die Opfer werden durch einen Telefonanruf von Betrügern kontaktiert, die behaupten, Vertreter einer High-Tech-Computerfirma zu sein, oder bösartige Software kann nur durch den Anruf einer bestimmen „Support“-Telefonnummer wieder entfernt werden. Der Anruf enthält die Warnung an das Opfer, dass der Computer von einem bösartigen Malware-Virus infiziert wurde, welcher den Computer schwer. Beschädigt. Der vermeintliche Support-Mitarbeiter des Unternehmens ermutigt das Opfer, online zu gehen und diesem über ein Remote-Control-Programm den Zugriff auf den eigenen PC und damit die Fehlersuche zu ermöglichen, um alle damit verbundenen Probleme sofort zu beheben. Das Ziel ist es, den Benutzer dazu veranlassen, für unnötige „Reparaturen“ zu bezahlen, aber es birgt auch das Risiko eines Identitätsdiebstahls, da sich ein Fremder jetzt in den Dateien des Anwenders umsehen und alles nach Belieben kopieren oder verschlüsseln kann.

Keine Digitalisierung ohne sichere Identitäten

Neues eBook „Neue Rollen für das Identity Management“

Keine Digitalisierung ohne sichere Identitäten

10.08.18 - Mit der fortschreitenden Digitalisierung werden Maschinen, Sensoren und Anwendungen vernetzt, Social Bots agieren in sozialen Netzwerken und Künstliche Intelligenzen beeinflussen Entscheidungen. Es reicht deshalb nicht mehr, die Identitäten der Nutzer und Administratoren zu verwalten und zu schützen. Neue Identitäten und ein neuer Identitätsschutz sind erforderlich. lesen

Tipps zum Schutz vor diesen Gefahren:

  • Der beste Weg, um sich Online vor Gefahren zu schützen, ist der Schutz persönlicher und privater Daten. Dazu sollte die Verwendung eines Dienstes zum Identitätsschutz erwogen werden.
  • Anwender sollten sich nicht ausschließlich auf Antivirenprogramme verlassen. 93 Prozent der Phishing-E-Mails enthalten inzwischen Ransomware und die Hersteller können nicht immer mit der Kreativität der Cyberkriminellen mithalten. Deshalb sollten verdächtige Links nie angeklickt werden.
  • Geld sollte niemals überwiesen werden, ohne die Transaktion persönlich und mit dem Vieraugenprinzip zu überprüfen. Statt auf einen Link oder eine E-Mail zu reagieren, sollten die Nutzer lieber selbst den angeblichen Initiator anrufen.
  • Sicherheitsmaßnahmen wie z.B. Zwei-Faktor-Authentifizierung sollten für Bankgeschäfte oder sensible Konten immer aktiviert werden. Damit jedes Konto ein anderes Passwort hat, empfiehlt sich ein Passwortmanager. Es gibt sowohl kostenlose Versionen als auch kostenpflichtige Versionen, die dafür gut geeignet sind.

Fazit

Kevin Mitnick.
Kevin Mitnick. (Bild: KnowBe4)

Während sich die Technologie weiterentwickelt, machen auch Cyberkriminelle Fortschritte in der „Kunst“ des Online-Diebstahls. Wie es im Text dargestellt wurde, haben diese Bösewichte zweifellos sehr raffinierte und gefährliche Strategien entwickelt, um so mühelos wie möglich auf private Informationen der Nutzer zuzugreifen und teils riesige Geldbeträge von ihrem Opfer zu erpressen. Nach unseren Erfahrungen ist ein kontinuierliches Security Awareness Training der beste Weg, um sich vor solchen bösartigen Angriffen zu schützen.

Über den Autor: Kevin Mitnick ist ein amerikanischer Computersicherheitsberater, Autor und Hacker. Mitte der 90er Jahre war er „Der meist gesuchte Hacker der Welt“. Seit 2000 ist er ein erfolgreicher Sicherheitsberater, Redner und Autor. Mitnick ist Chief Hacking Officer bei KnowBe4.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45790654 / Benutzer und Identitäten)